ID del boletín
Última actualización el
25/11/2024
Actualización de seguridad disponible para Adobe Commerce | APSB24-90
|
|
Fecha de publicación |
Prioridad |
|---|---|---|
|
APSB24-90 |
12 de noviembre de 2024 |
3 |
Resumen
Adobe ha publicado una actualización de seguridad para las funciones de Adobe Commerce y Magento Open Source con la tecnología de los servicios de Commerce y se ha implementado como SaaS (software como servicio). Esta actualización soluciona una vulnerabilidad crítica. Estas vulnerabilidades podrían dar lugar a la ejecución de código arbitrario.
Adobe no tiene constancia de que existan exploits en circulación para los problemas que se tratan en estas actualizaciones.
Versiones afectadas
| Producto | Versión | Plataforma |
|---|---|---|
| Adobe Commerce y Magento Open Source con la tecnología de los servicios de Commerce e implementados como SaaS (software como servicio). (Conector de servicios de Commerce) | 3.2.5 y versiones anteriores | Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes.
| Producto | Versión actualizada | Plataforma | Nivel de prioridad | Instrucciones de instalación |
|---|---|---|---|---|
| Adobe Commerce y Magento Open Source con la tecnología de los servicios de Commerce e implementados como SaaS (software como servicio). (Conector de servicios de Commerce) | 3.2.6 |
Todas |
3 |
|
Detalles sobre la vulnerabilidad
| Categoría de vulnerabilidad | Impacto de la vulnerabilidad | Gravedad | ¿Se requiere autenticación para la explotación? | ¿La explotación requiere privilegios de administrador? |
Puntuación base CVSS |
Vector CVSS |
Número(s) CVE | Notas |
|---|---|---|---|---|---|---|---|---|
| Falsificación de solicitud del servidor (SSRF) (CWE-918) |
Ejecución de código arbitraria |
Crítica |
Sí | Sí | 7.7 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
CVE-2024-49521 |
Nota:
Autenticación necesaria para explotación: La vulnerabilidad se puede (o no se puede) explotar sin credenciales.
La explotación requiere privilegios de administrador: La vulnerabilidad la puede explotar (o no) un atacante con provilegios de administrador.
Reconocimientos
Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:
- Akash Hamal (akashhamal0x01): CVE-2024-49521
NOTA: Adobe tiene un programa privado de detección de errores con HackerOne (solo con invitación). Si le interesa trabajar con Adobe como investigador de seguridad externo, rellene este formulario para los siguientes pasos.
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.
